Un grupo cibercriminal aprovecha una vulnerabilidad crítica en Windows

La tecnología de prevención de exploits de Kaspersky ha detectado a un grupo cibercriminal anónimo que intentaba aprovechar una vulnerabilidad desconocida de Microsoft, el sistema operativo de Windows. En este escenario, las atacantes ejecutaron un archivo malicioso que comenzó con la instalación del malware. La infección utilizó una vulnerabilidad zero day y consiguió hacerse con privilegios para permanecer dentro del equipo de la víctima. Utilizando un marco de scripting llamado Windows PowerShell, un elemento legítimo de Windows presente en todas las máquinas que utilizan este sistema operativo, el malware ejecutó un backdoor. Esto permitió a los actores de amenazas actuar sigilosamente y evitar la detección, ahorrándoles tiempo en la escritura del código de las herramientas maliciosas. El malware, a continuación, descargó otro backdoor desde un popular servicio de almacenamiento de texto, dando a los cibercriminales el control total sobre el sistema infectado.

Para Anton Ivanov, experto de seguridad en Kaspersky, “en el ataque pudimos observar dos tendencias principales que a menudo vemos en las APT. Primero está el uso de exploits de privilegios locales para permanecer dentro de la máquina de la víctima. Segundo, el uso de elementos legítimos, como Windows PowerShell, para llevar a cabo actividades maliciosas dentro del ordenador. La combinación de ambas aporta a los actores de amenazas la capacidad de evitar las soluciones de seguridad estándar. Para detectar este tipo de técnicas, la solución de seguridad debe utilizar motores de prevención de vulnerabilidades y de detección de comportamientos”.